Kiedyś przeczytałem o tym w internecie, BotNet atakujący routery… wydawało mi się , że jest to totalna bzdura. Okazuje się, że nie! Dziś trafiły w moje ręce trzy zablokowane routery firmy TP-Link i D-Link. Były to modele WR1043ND WR841ND oraz D-Link DIR-615. Wszystkie routery po uruchomieniu działają normalnie, mają nawet SSID i hasło które wybrał sobie użytkownik na FABRYCZNYM SOFCIE! Niestety po wpisaniu 192.168.1.1 pokazuje się strona informacyjna systemu DD-WRT próba logowania zawsze kończy się niepowodzeniem. Router nie odpowiada na przycisk WPS oraz reset, zawsze startuje z wcześniej wybranym SSID-em. Zainfekowany router tworzy dodatkowy SSID którego nie rozgłasza, jest to pnet_XXXXXX, gdzie XXXXXX to koniec adresu MAC interfejsu wifi. Hasło do sieci jest takie samo jak SSID z tym że jest odwrócone czyli: XXXXXX_pnet. Po zalogowaniu na 192.168.1.1 nie musimy podawać hasła ani login-u, mimo to konfiguracja jest nadal zablokowana. Informacje wyświetlane przez router na stronie „STATUS” są FIKCYJNE, klienci którzy masowo łączą się z naszym AP nie istnieją. Po analizie danych przesyłanych przez router wynika że łączy się on z kilkoma różnymi adresami IP, podejrzewam że są nimi inne zainfekowane routery od których dostaje instrukcje. 99% czasu nic się nie działo, ale po około 8h router zaczął wysyłać pakiety UDP na jeden adres IP (w tym wypadku POLSKI!)

Router da się odblokować! Potrzebna do tego jest konsola szeregowa, po jej podłączeniu musimy nadpisać cały firmware. Ja profilaktycznie nadpisałem cały firmware a potem wymieniłem bootloader-a (w moim wypadku redboot) i z poziomu bootloader-a wymieniłem system na prawdziwy DD-WRT.

Osoby które dostarczyły mi router mówiły że ustawiły trudne hasło na WebGUI i nie miały załadowanego DD-WRT tylko oficjalne oprogramowanie. Wygląda na to że wirus używa metody słownikowej lub jakiegoś exploita aby dostać się do routera, po czym wymienia oprogramowanie na zmodyfikowane DD-WRT i tak zmieniony, udaje normalną prace.

Nie da się ani odczytać komend sterujących ani odszukać IP sterujące ponieważ transmisja sterująca przychodzi z różnych adresów IP (podejrzewam że od innych zainfekowanych) a dodatkowo całość jest szyfrowana.

Każdą osobę która posiada tak zablokowany sprzęt zapraszam na forum, bardzo chętnie pomogę w odblokowaniu. Osobą z rejonu miast: Kraków, Katowice, Wrocław jestem w stanie pomóc osobiście.

Aktualnie udało mi się odblokować modele:

TP-Link WR1043ND

TP-Link WR841ND

D-Link DIR-615 A1

Update: Okazuje się że istnieje już nowsza wersja zainfekowanego router-a która po podłączeniu konsoli szeregowej wyświetla obrazek w ASCII:

Zmienił się też ukryty SSID, na sam adres MAC. Niestety nie pasuje wcześniejsze hasła, bez dostępu do konsoli nie da się go odczytać. Od tego momentu jedyny sposób naprawy to JTAG lub wymiana pamięci flash. Dodatkowo nowe oprogramowanie wprowadza reklamy, które wyskakują w zastępstwie strony którą chcemy załadować, ponowne załadowanie strony (po kilku sek.) powoduje, że zaczyna się ładować właściwa strona.

Lista znanych i możliwych do zainfekowania sprzętów:

TP-Link WR1043ND

TP-Link WR2543ND

TP-Link MR-3220 MR3420 MR3440

TP-Link WR841ND

D-Link DIR-615

D-Link DIR-600

D-Link DIR-815

Linksys E4200 (oraz praktycznie cała seria E)

La Fon 2100 oraz 2200

Tagged with:
 

Nowa wersja BackTrack 5 v3 gnome x86 (wersja POLSKA)

Niestety zmuszony jestem szybko zaktualizować wersję, ponieważ wersja z 27 lipca zawiera kilka drobnych błędów. Na szczęście przez te kilka dni zmieniłem praktycznie wszystkie skrypty, startowe i nie tylko, na te z wersji instalacyjnej. Dzięki temu różnice między wersją zainstalowaną na dysk a moją wersją praktycznie się zacierają.

Aby dokonać aktualizacji poprzedniej wersji v3 z 29 lipca, trzeba zapisać na nośniku cały obraz od nowa, a nie tylko filesystem.squashfs ponieważ bootloader także uległ zmianie.

Standardowo lista z mian w stosunku do oryginalnego BackTrack 5 x86 gnome:

  1. POLONIZACJA – tym razem lokalizacje pochodzą w Ubuntu 11.04 ponieważ te dostępne w repo bt są wybrakowane
  2. zamiana skryptów init-u i nie tylko z wersji instalacyjnej, co likwiduje wiele problemów z którymi borykały się skrypty LiveDVD
  3. zaktualizowany cały system z repo bt, do wersji z 29 lipca: Firefox 5.0,  framework3/metasploit z svn
  4. dodane programy z repo bt: vlc, mplayer, gnome-mplayer, abiword, xpdf, htop, iftop, iptraf, mc, kadu, Google Chrome, gimp, tightvnc i wiele więcej
  5. dodane programy z poza repo bt: Feeding Bottle (pochodzi z Linux-a Beini, genialny GUI dla aircrack-ng), Wifite-svn r80 (wersja rozwojowa pobrana z svn, poprawia masę błędów i daje możliwość używania wszystkich parametrów), mutliwep (wielo-wątkowy łamacz sieci szyfrowanych WEP, obsługuje więcej niż jedną kartę oraz jest w stanie jednocześnie łamać do 30 sieci!, napisany w C++)
  6. nowszy bootloader, zmodyfikowana konfiguracja pod kontem zapisywania zmian pomiędzy reboot-ami
  7. zmodyfikowany instalator, teraz można zainstalować system na dysk z USB
  8. zaktualizowana baza metasploit-a z svn (na oko około 150-200 nowych exploitów, 5-10 nowych payload-ów)
  9. dodałem możliwość wylogowania oraz zalogowania się jako NIE root
  10. obraz systemu plików zmniejszony z 1.8GB (wersja oryginalna, pakowana gzip-em) do 1.7GB (moja wersja, pakowana LZMA2/xz) w przypadku mojej maszyny (i5 mobile 2.6Ghz 8GB radeon hd 6000) czas startu spadł o 25%!

INSTALACJA:

Zupełnie identyczna jak w poprzednich wersjach: http://youtu.be/dhBjOzt2UR0?hd=1 (w najbliższym czasie postaram się nagrać nowy bardzie aktualny filmik)

DOWNLOAD:

http://chomikuj.pl/funtoo/BackTrack+5+wersja+polska+update+29+lipca

 

Tagged with:
 

Jest wiele celów dla których chcemy zmienić adres IP, są te dobre i te złe. Dla mniej zorientowanych napiszę do czego nadaje się dany sposób zmiany adresu.

1. Dynamiczny adres IP.

Niektóre usługi takie jak np. Neostrada, Netia Net24, Netia WiMax wymuszają na użytkowniku zmianę adresu co 24h lub co logowanie. Jest to dobre i złe, ponieważ z jednej strony można pobierać pliki z wielu portali mimo ograniczeń, logować się na portale wielokrotnie itp. Niestety dostęp do niektórych usług na zakresach dynamicznych adresów IP jest zablokowany domyślnie przez wielu operatorów, właśnie dlatego że niektórzy nie mają hamulców. Nie polecam jednak robić niczego mało legalnego bo to że adres IP się zmienia nie oznacza że operator nie wie kto i kiedy był na danym adresie. Szczególnie Telekomuna monitoruje tego typu aktywność.

2. VPN – Virtual Private Network a raczej szyfrowane lub nie tunele.

Są to usługi darmowe lub nie, można się do nich połączyć za pomocą odpowiedniego oprogramowania. Po instalacji aplikacje zazwyczaj tworzą w naszym systemie wirtualne urządzenie sieciowe które kieruje cały ruch przez tunel a nie bezpośrednio przez nasze łącze.

Jest kilka usługo dawców należą:

  • Packetix – darmowy, bez reklam, brak limitów transferu, limit prędkości
  • HotSpot Shield – darmowy, masa reklam, brak limitów transferu, brak limitów prędkości
  • Hamachi – darmowy, brak limitów transferu (bardzo polecany ja nie testowałem)
  • UltraVPN – darmowy, wymaga rejestracji
  • CyberGhost – darmowy i płatny z limitami
  • Gpass – darmowy, limity

Jest to bardzo dobry wynalazek jeżeli chodzi o zabezpieczenie swojej prywatności w wielu darmowych HotSpot-ach gdzie nie ma szyfrowania, niestety zazwyczaj czas odpowiedzi zwiększa się diametralnie a niektóre porty/usługi są zablokowane. Często jedyny dostępny port to 80 (http). Plusy są takie że operatorzy to zazwyczaj zagraniczne firmy.

3. Proxy – serwery pośredniczące, jest ich masa, listy takich otwartych serwerów są dostępne z internecie na wielu stronach np. http://www.samair.ru/proxy/ aktualizowane często łatwe do podłączenia.

Wady są takie że 99,9% tych serwerów przewiduje połączenie tylko na 80 port, chyba że to Socks. Nie zapewniają szyforwania. Plusów jest więcej, duża ilość takich proxy, spora anonimowość, brak limitów, lokalizacja w różnych krajach włącznie z chinami, mozambikiem, sporo programów do dynamicznej zmiany serwera proxy a także ich szybkiego testowania.

4. Tor – wirtualana sięc komputerowa implementująca trasowanie cebulowe. Wykorzystuje wielowarstwowe szyfrowanie a ruch pomiędzy routerami jest okresowo zmieniany na inny obwód co skutecznie uniemożliwia analizę. Sieć składa się z dobrowolnych ochotników lub wyznaczonych serwerów. Wada to bardzo różna raczej słaba przepustowość, spory ping. Zalety to całkowita prywatność, brak możliwości namierzenia źródła, duże możliwości, łatwe połączenie SOCKS.

Zastosowanie bardzo szerokie, ale nie nadaje się do ściągania dużych plików, grania w gry itp.

KONIEC, życzę miłego oglądania MegaVideo ;P

Tagged with:
 

Poszukiwanie sterowników dla kart USB firmy TP-Link WN722N WN422G WN332G WN721N trwa już jakiś czas a nikt nic działającego nie potrafi odszukać.

Muszę was zmartwić, przyjdzie jeszcze troszkę poczekać na sensownie działające sterowniki. Na stronie http://wireless.kernel.org/en/users/Drivers/ath9k_htc można przeczytać że sterownik jest rozwijany i aktualnie dostał się do drzewa testowego „wireless-testing” można go pobrać i skompilować. Niestety może to być dosyć kłopotliwe ponieważ sterownik jest pisany dla kernela 2.6.34 albo nawet dla 2.6.35 dlatego są problemy z jego kompilacją na 2.6.33. Sterownik ma się dostać już do 2.6.35 jak wersja testowa, niestety to może potrwać 3-4 miesiące.

Alternatywą dla ath9k_htc jest NdisWrapper czyli wrapper który pozwala nam użyć sterownika pisanego dla system Windows.  Automatycznie o „wstrzykiwaniu” nie ma mowy, monitor mode też nie za bardzo ale zawsze to lepsze niż nic.

Dla niecierpliwych mogę podrzucić to. Jest to opis instalacji WN722N oraz innych kart na AR9271, niestety po niemiecku, przetłumaczony za pomocą google translate.

Dodane:

Nie ma dystrybucji która zawiera aktualnie ath9k_htc, BackTrack 4 także nie posiada tego sterownika i karta na 100% na nim nie zadziała. Każda dystrybucja używa tego samego kernel-a mniej lub bardziej zmodyfikowanego, tak więc do momentu kiedy w kernelu nie znajdzie się ath9k_htc karta nie zadziała na żadnej dystrybucji! Brrr…

Dodane 2010-06-01:

Wydano nowe compat-wireless-2.6 które zawiera funkcjonujący sterownik dla układów AR9271 czyli WN722N WN422G, instalacja jest banalna, zapraszam do lektury: http://backtrack.pl/2010/06/01/linux-jak-uruchomic-tp-link-a-wn722n-lub-wn422g-pod-linux-em-ar9271-ath9k_htc/

Tagged with:
 

Portal Bezpieczna Sieć - Forum komputerowe, Informatyka śledcza, bezpieczeństwo, backtrack, kali - Kali Linux Polska Edycja - Polska Edycja Backtrack - Seriws Laptopów Katowice - Sklep Komputerowy Katowice - Parking BETA przy lotnisku Pyrzowice - Broń Czarnoprochowa - miejsce Run w sieci

stat4u